Главная » WordPress » Статьи Wordpress » WordPress шаблоны: уязвимости, безопасность и скрытые ссылки. Методы избавления. Часть 2.
Распечатать статью

WordPress шаблоны: уязвимости, безопасность и скрытые ссылки. Методы избавления. Часть 2.

Май 31st, 2012 Archi

В этой статье мы рассмотрим второй способ встраивания скрытых ссылок в WordPress-шаблоны, — закодированные/шифрованные ссылки.

Обычно это «добро» располагается в файле footer.php вашей темы и выглядит примерно так:

<?php 
    $_F=__FILE__;
    $_X='Pz48ZDR2IGNw+... И ещё куча символов';
    eval(base64_decode('JF9YPWJhc2U2NF... И ещё куча символов'));
?>







Причём не как здесь, а всё в 1 строчку.


Лечится очень просто. Помечаем «неизвестный» код простым комментарием в начале и в конце, например вот так:






<!-- кодировка -->
<?php 
    $_F=__FILE__;
    $_X='Pz48ZDR2IGNw+... И ещё куча символов';
    eval(base64_decode('JF9YPWJhc2U2NF... И ещё куча символов'));
?>
<!-- /кодировка -->






Далее в окне браузера кликаём ПКМ/вызываем меню «Исходный код страницы». Смотрим где у нас начинается наш комментарий и где заканчивается. Это и есть наш зашифрованный участок кода, копируем его. Заменяем каракули в footer.php (место, где была шифровка) на скопированный код из окна браузера. Сохраняем изменения в UTF-8 без BOM.


А теперь о «подводных камешках». Не удаётся вызвать открыть «Исходный код страницы»? Нет доступа? Без паники, это всего лишь JS, отключаем его любыми известными способами. Код блокировки контекстного меню браузера на JavaScript  (пример):






<script type="text/javascript">
var message="";
function clickIE() {
  if (document.all) {
     (message);return false;
  }
}
function clickNS(e) {
  if (document.layers||(document.getElementById&&!document.all)) {
    if (e.which==2||e.which==3) {(message);return false;}
  }
}
if (document.layers) {
  document.captureEvents(Event.MOUSEDOWN);
  document.onmousedown=clickNS;
}
else {
  document.onmouseup=clickNS;document.oncontextmenu=clickIE;
}
document.oncontextmenu=new Function("return false")
</script>






Как? Отключили JS, а вместо этого редирект в админку? Это тэг <noscript>. Просто вовремя остановите перенаправление, нажав клавишу Esc. Код переправления:






<noscript>
<meta content="0;URL=<?php bloginfo('url'); ?>/wp-admin/" 
http-equiv="refresh" />
</noscript>






Как видите, избавиться от «излишков» не так уж сложно, как бы не старались «по ту сторону баррикад».


Источник:  sooource.net

															

							
 Опубликовано в рубрике Статьи Wordpress   Метки: , , , , 

							

								
« 

								
 »

							

															Вы можете оставить комментарий, или обратную ссылку на Ваш сайт.
													


			



Оставить комментарий



	





























								
Похожие статьи
			

			

	

	
 
		

			Шаблоны Joomla  |  
			Шаблоны phpBB  |  
			Темы Wordpress  |   
			Скачать Joomla  |  
			Скачать Wordpress  |   
			Скачать phpBB  |  			
			Скачать Drupal